CYBERANGRIFFE AUF DIE EUROPÄISCHE UNION UND IHRE MITGLIEDSTAATEN
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Eingereicht von
Magdalena Fürnkranz
Angefertigt am
Institut für Europarecht
Beurteiler
Univ.-Prof. Dr. Franz
Leidenmühler
CYBERANGRIFFE AUF
Dezember 2021
DIE EUROPÄISCHE
UNION UND IHRE
MITGLIEDSTAATEN
Diplomarbeit
zur Erlangung des akademischen Grades
Magistra der Rechtswissenschaften
im Diplomstudium
Rechtswissenschaften
JOHANNES KEPLER
UNIVERSITÄT LINZ
Altenberger Straße 69
4040 Linz, Österreich
jku.atEIDESSTATTLICHE ERKLÄRUNG
Ich erkläre an Eides statt, dass ich die vorliegende Diplomarbeit selbstständig und ohne
fremde Hilfe verfasst, andere als die angegebenen Quellen und Hilfsmittel nicht benutzt
bzw. die wörtlich oder sinngemäß entnommenen Stellen als solche kenntlich gemacht
habe.
Die vorliegende Diplomarbeit ist mit dem elektronisch übermittelten Textdokument
identisch.
Krems an der Donau, am 27.12.2021
2Inhaltsverzeichnis
I. Abkürzungsverzeichnis ............................................................................ 5
II. Einleitung ................................................................................................... 7
III. Begriffserklärungen und Arten von Cyberangriffen ............................... 8
A. Begriffserklärungen ..................................................................................... 8
B. Arten von Cyberangriffen ............................................................................ 9
1. Schadsoftware/ Malware ................................................................................ 9
2. Ransomware/ Scareware ..............................................................................11
3. Spam- und Phishing-Mails ............................................................................11
4. Botnetze ........................................................................................................13
5. Denial-of-Service (DoS) und Distributed-Denial-of-Service (DDoS) ...............13
6. Schwachstellen in Soft- und Hardware (sog. Backdoor) ................................14
7. Advanced Persistent Threats (APTs) ............................................................15
8. Social Engineering ........................................................................................15
9. Man-in-the-Middle .........................................................................................16
IV. Agentur der Europäischen Union für Cybersicherheit ......................... 16
A. Mandat und Ziele .........................................................................................17
B. Aufgaben .....................................................................................................18
C. Organisation und Arbeitsweise ..................................................................19
1. Verwaltungsrat ..............................................................................................19
2. Exekutivrat ....................................................................................................20
3. Exekutivdirektor.............................................................................................21
4. ENISA-Beratungsgruppe ...............................................................................21
5. Netz der nationalen Verbindungsbeamten.....................................................21
6. Ad-hoc-Arbeitsgruppen .................................................................................21
7. Gruppe der Interessenträger für die Cybersicherheitszertifizierung ...............22
D. Arbeitsweise ................................................................................................22
E. Projekte ...........................................................................................................23
1. Cyber Europe ................................................................................................23
2. European Cybersecurity Month (ECSM) .......................................................24
3. European Cybersecurity Challenge (ECSC) ..................................................24
V. Restriktive Maßnahmen .......................................................................... 25
A. Allgemein .....................................................................................................25
31. Begriffserklärung und Arten ...........................................................................25
2. Ziele ..............................................................................................................26
3. Annahmen und Rechtsgrundlagen ................................................................27
4. Rechtsschutz ................................................................................................29
B. Restriktive Maßnahmen gegen Cyberangriffe ...........................................29
1. Beschluss (GASP) 2019/797 und Verordnung (EU) 2019/796.......................30
a) Inkrafttreten und Geltung ...........................................................................30
b) Restriktive Maßnahmen .............................................................................31
c) Ausnahmen ...............................................................................................32
d) Anhänge ....................................................................................................33
2. Erste Sanktionen 2020 ..................................................................................34
VI. Aktuelle Fälle ........................................................................................... 34
A. Universitätsklinikum Düsseldorf ................................................................34
B. Europäische Arzneimittel-Agentur.............................................................34
C. Außenministerium Österreich ....................................................................35
D. Irland ............................................................................................................35
E. Europäische Bankenaufsichtsbehörde .........................................................35
F. Belgien ............................................................................................................36
G. Dänemark.....................................................................................................36
VII. Neue Cybersicherheitsstrategie der Europäischen Union................... 36
A. Ziele..............................................................................................................37
B. Umsetzung...................................................................................................37
1. Widerstandsfähigkeit und technologische Unabhängigkeit ............................37
2. Verstärkte Zusammenarbeit ..........................................................................38
3. Umsetzung des 5G-Instrumentariums der Europäischen Union ....................39
4. Neues Kompetenzzentrum ............................................................................39
C. Investitionen ................................................................................................40
VIII. Fazit .......................................................................................................... 41
IX. Literaturverzeichnis................................................................................. 42
4I. Abkürzungsverzeichnis
ABl. ........................................................................................................ Amtsblatt
Abs. ............................................................................................................ Absatz
AEUV ............................. Vertrag über die Arbeitsweise der Europäischen Union
APTs ....................................................................... Advanced Persistent Threats
Art. .............................................................................................................. Artikel
Aufl. .......................................................................................................... Auflage
Be......................................................................................................... Beschluss
BMEIA .......................... Bundesministerium für Europa, Integration und Äußeres
bzw. ........................................................................................... beziehungsweise
CSIRTs .........................................Computer Security Incident Response Teams
DDoS ...................................................................... Distributed-Denial-of-Service
Dok. ...................................................................................................... Dokument
DoS ........................................................................................... Denial-of-Service
ECSC ............................................................ European Cybersecurity Challenge
ECSM .................................................................. European Cybersecurity Month
EFTA ............................................................... European Free Trade Association
EMA ................................................................ Europäische Arzneimittel-Agentur
engl. ........................................................................................................ englisch
ENISA ................................ Agentur der Europäischen Union für Cybersicherheit
EU .......................................................................................... Europäische Union
EuGH ............................................................................ Europäische Gerichtshof
EUV .............................................................. Vertrag über die Europäische Union
GASP ............................................... Gemeinsame Außen- und Sicherheitspolitik
Hrsg. ................................................................................................ Herausgeber
HSE ............................................................................... Health Service Executive
lit. .................................................................................................................. litera
Mrd. ....................................................................................................... Milliarden
NGOs ............................................................... Non-governmental Organisations
NIS .................................................................... Netz- und Informationssicherheit
S. ................................................................................................................. Seite
sog. ................................................................................................ sogenannte(r)
Vgl. ....................................................................................................... Vergleiche
5VO ...................................................................................................... Verordnung
WKO .....................................................................Wirtschaftskammer Österreich
z.B. ................................................................................................... zum Beispiel
6II. Einleitung
,,Cybersicherheit ist ein zentraler Bestandteil der Sicherheitsunion. Es gibt keine
Unterscheidung mehr zwischen Online- und Offline-Bedrohungen. Digitale und
physische Risiken sind inzwischen untrennbar miteinander verbunden.“1
Margaritis Schinas, Vizepräsident der Kommission
Die Möglichkeit für Cyberangriffe und damit auch die Anzahl der Cyberkriminellen
nimmt durch die steigende Verwendung digitaler Medien, der zunehmenden
Digitalisierung und in Folge deren besseren Vernetzung stetig zu. 2 Von einer
Verringerung ist in naher Zukunft nicht auszugehen, da die Anzahl der mit dem
Internet der Dinge verbundenen Geräte täglich steigt. Voraussichtlich werden bis
2024 22,3 Mrd. Geräte verbunden sein.3 Unter Internet der Dinge versteht man
das ,,Netz alltäglicher Gegenstände, die mit Elektronik, Software und Sensoren
ausgestattet sind, und so über das Internet kommunizieren und Daten
austauschen können“4.
Im Jänner 2021 hatten rund 4,66 Mrd. Menschen Zugang zum Internet, was eine
Gesamtprozentzahl von 59,5 der Weltbevölkerung ergibt.5 2020 belief sich die
Zahl der europäischen Haushalte mit Internetzugang auf etwa 91%, in Österreich
auf 90%.6 Auch im öffentlichen Bereich ist der Einsatz von Technologie nicht
mehr wegzudenken. Da die Verfügbarkeit und Verwendung des Internets der
Dinge selbstverständlich geworden ist, wird oft übersehen, welche alltäglichen
Dinge und Institutionen Opfer eines Cyberangriffs werden können. Jedes mit dem
Internet vernetzte Gerät, jedes Krankenhaus, jedes Stromnetz, jede Privatperson
und jede öffentliche Einrichtung ist gefährdet. Diese zahlreichen Möglichkeiten
1 Vgl. Press corner: Neue Cybersicherheitsstrategie der EU und neue Vorschriften zur Erhöhung
der Widerstandsfähigkeit kritischer physischer und digitaler Einrichtungen: in: European
Commission, Europäische Kommission, 16.12.2020, abgerufen am 11.12.2021.
2 Vgl. Verordnung (EU) 2019/881 des Europäischen Parlaments und des Rates vom 17.April 2019
über die ENISA (Agentur der Europäischen Union für Cybersicherheit) und über die Zertifizierung
der Cybersicherheit von Informations- und Kommunikationstechnik und zur Aufhebung der
Verordnung (EU) Nr. 526/2013 (Rechtsakt zur Cybersicherheit), ABl. 2019 L 151, S. 15.
3 Vgl. Cybersicherheit: Wie die EU Cyberbedrohungen begegnet; in: European Council,
04.10.2021, abgerufen am 03.11.2021.
4 Vgl. Analyse Nr. 02/2019: Herausforderungen für eine wirksame Cybersicherheitspolitik der EU
(Themenpapier); in: Europäischer Rechnungshof, 19.03.2019, S. 68, abgerufen am 03.11.2021.
5 Vgl. Kemp in Digital 2021: Global Overview Report; in: DataReportal – Global Digital Insights,
22.10.2021, abgerufen am 03.11.2021.
6 Vgl. Haushalte - Internet-Zugangsdichte - Produkte Daten; in: Eurostat, 25.05.2021, abgerufen
am 03.11.2021.
7werden von Angreifern auch tagtäglich ausgenutzt. Der Cyberraum gehört
mittlerweile zu den häufigsten Tatorten.
Um Cyberangriffe effizient abwehren und verhindern zu können, steht die
Europäische Union vor einer großen Herausforderung. Mit guten Plätzen in den
Cybersicherheitsindex-Charts und der Beheimatung von mehr als 60.000
Unternehmen und über 660 Kompetenzzentren aus dem Gebiet der
Cybersicherheit,7 hat die EU eine gute Ausgangslage.
Jedoch wird die Union durch die steigende Bedrohung von Cyberangriffen in
Handlungszwang gebracht. Um diese Aufgabe meistern zu können, wurde unter
anderem die Agentur für Cybersicherheit (ENISA) gegründet. Weiters erließen
die Organe der EU Rechtsakte über restriktive Maßnahmen und eine neue
Cybersicherheitsstrategie, um Cybersicherheitsbedrohungen Einhalt gebieten zu
können.
III. Begriffserklärungen und Arten von Cyberangriffen
A. Begriffserklärungen
Eine allgemein geltende Definition des Begriffes Cyberangriff gibt es nicht. Es
existieren aber Ansätze.
Ein Cyberangriff ist eine Handlung im Cyberraum, zum Zweck der Beschaffung,
der Beeinträchtigung oder der Blockade von Informationen oder zwecks
Manipulation, Zerstörung oder Abfangen von Daten, ohne dass dieser Eingriff
von dessen Rechtsinhaber gestattet wurde oder anderweitig zulässig wäre.8
Solche Angriffe werden von Organisationen oder einzelnen Personen, sog.
,,Hackern“, ausgeführt. Diese Angreifer verfügen über ausgeklügelte Techniken,
die die Abwehr und Rückverfolgung von Cyberangriffen und in Folge dessen
deren Bekämpfung, deutlich erschweren.
Die Gründe der Angreifer einen Cyberangriff durchzuführen, reichen von
monetären Motiven über Rache und Anerkennung bis hin zu Spionage.
7 Vgl. Cybersicherheit: Wie die EU Cyberbedrohungen begegnet; in: European Council,
04.10.2021, abgerufen am 03.11.2021.
8 Vgl. Verordnung (EU) 2019/796 des Rates vom 17. Mai 2019 über restriktive Maßnahmen gegen
Cyberangriffe, die die Union oder ihre Mitgliedstaaten bedrohen, ABl. 2019 L 129 I, S.2.
8Problematisch ist ebenfalls, dass die meisten Opfer nicht wissen, dass sie gerade
Opfer einer Attacke geworden sind. Die oft in Filmen dargestellte Szene des
blauen bzw. schwarzen Bildschirms entspricht nicht immer der Realität. Angreifer
arbeiten meist im Hintergrund. Sie verschaffen sich Zugang zu einem System
und führen ihre kriminellen Handlungen auf dem Opferrechner aus, ohne dass
das Opfer davon etwas ahnt. Dies führt zu einer hohen Dunkelziffer von
Cyberattacken, da jedes mit einem Netzwerk verbundene System zu jeder Zeit
unbemerkt Opfer werden kann.
Weiters ist bedenklich, dass viele Menschen ein mangelndes Interesse an einer
Weiterbildung im Bereich der Cybersicherheit haben, obwohl manchmal nur ein
kleiner Schritt notwendig wäre, um eine Cyberbedrohung – wie eine Phishing-
E-Mail - zu erkennen.
B. Arten von Cyberangriffen
1. Schadsoftware/ Malware
Malware (,,Malicious Software“; engl. ,,Bösartige Software“), synonym auch als
Schadsoftware bezeichnet, ist ein Überbegriff für alle Arten von Software, die ein
Computersystem angreifen, Daten ausspähen, diese an Dritte weiterleiten, sie
manipulieren und/oder Schäden verursachen. Die häufigste Art der Verbreitung
erfolgt mittels E-Mails. Dazu enthält die infizierte E-Mail einen Link bzw. einen
Anhang, der die schädliche Software durch einen Klick darauf installiert. Diese
Programme werden dadurch vom Nutzer unbewusst installiert.
Die bekanntesten Beispiele für Malware sind Würmer, Viren, Trojaner,
Ransomware, Spyware, Adware9 und Keylogger.10
Wurm: Ein Wurm ist ein eigenständiges Programm, das beispielsweise Daten auf
einer Festplatte löscht oder die Bandbreite eines Netzwerks für sich selbst
verbraucht und dem User dadurch dessen Nutzung vorenthält. Ein Wurm ist in
der Lage, sich selbst über Netzwerkverbindungen fortzupflanzen und dabei
9 Vgl. Analyse Nr. 02/2019: Herausforderungen für eine wirksame Cybersicherheitspolitik der EU
(Themenpapier); in: Europäischer Rechnungshof, 19.03.2019, S. 10, abgerufen am 03.11.2021.
10 Vgl. Keller/Braun/Roggenkamp in Cybercrime, 1. Aufl., Hilden/Rhld., Deutschland: Deutsche
Polizeiliteratur, 2020, S. 24.
9seinen Schadcode auf Dateien zu übertragen, ohne dabei die Hilfe des Users zu
benötigen.11
Virus: Ein Virus ist eine Schadsoftware, die sich reproduzieren kann.12 Dazu
benötigt ein Virus eine Art ,,Wirtsdatei“, in die das Virus seinen Programmcode
ablegt. Beim Ausführen der befallenen Datei wird der Programmcode
mitausgeführt. Dabei kann dieses Programm nicht kontrollierbare Manipulationen
vornehmen. Im Gegensatz zu einem Wurm ist ein Virus auf die Mithilfe des Users
angewiesen.13
Trojaner: Ein Trojaner ist ein Computerprogramm zur Spionage und Sabotage,
das auf den Benutzer unschädlich wirkt und einen versteckten Schadcode
enthält. Zu seiner Ausführung benötigt ein Trojaner, wie ein Virus, die Mithilfe des
Nutzers. Ein Trojaner spiegelt vor, dass seine Installation für den User Nutzen
hat, um sich auf dem Rechner einzuschleichen.14
Spyware: Spyware setzt sich aus dem englischen Wort ,,spy” (engl.
,,ausspionieren“) und ,,Software” zusammen. Spyware ist ein Schadprogramm,
welches Daten des Nutzers ausspioniert und an Dritte weitergibt.15
Adware: Der Begriff setzt sich zusammen aus den Begriffen ,,Advertisement“
(engl. ,,Werbung“) und Software. Adware überwacht das Verhalten des Users
und schaltet entsprechende Werbeanzeigen, die ungewollt aufpoppen (sog.
Popup-Fenster).
Keylogger: Ein Keylogger ist ein Spionageprogramm, das die Tastenanschläge
und Screenshots des Benutzers protokolliert und gegebenenfalls an Dritte
weiterleitet.16 Diese können aus der Ferne das Protokoll abrufen. Ziel dieses
Angriffs ist der Zugriff auf sensible Informationen, wie z.B. Passwörter. Keylogger
werden oft mittels Trojaner oder Backdoor-Programmen installiert.
11 Vgl. Huber in Malware; in: Cybercrime, 1.Aufl., Springer VS, Wiesbaden, 2019, S. 79.
12 Vgl. Wendzel in Grundlagen der IT-Sicherheit; in: IT-Sicherheit für TCP/IP- und IoT-Netzwerke,
2.Aufl., Springer Vieweg, Wiesbaden, 2021, S. 101.
13 Vgl. Huber in Malware; in: Cybercrime, 1.Aufl., Springer VS, Wiesbaden, 2019, S. 79.
14 Vgl. Franzetti in Sicherheit; in: Essenz der Informatik, 1.Aufl., Springer Vieweg, Berlin,
Heidelberg, 2019, S. 181.
15 Vgl. Wendzel in Grundlagen der IT-Sicherheit; in: IT-Sicherheit für TCP/IP- und IoT-Netzwerke,
2.Aufl., Springer Vieweg, Wiesbaden, 2021, S. 104.
16 Vgl. Lenhard in Gefährliche Software; in: Datensicherheit, 2.Aufl., Springer Vieweg, Wiesbaden,
2020, S. 38-39.
102. Ransomware/ Scareware
Der Begriff Ransomware setzt sich aus den Wörtern ,,Ransom” (engl.
,,Lösegeld“) und Software zusammen. Bei diesem Schadprogramm, das meist
durch Öffnen des Anhangs einer Spam-Mail oder durch sogenannten ,,Drive-by-
Download“ installiert wird, werden die Daten eines Users verschlüsselt und der
Zugriff auf diese versperrt oder eingeschränkt.17 Bei einem ,,Drive-by-Download“
wird eine Software ohne Kenntnis des Users heruntergeladen. Der betroffene
Nutzer wird dann aufgefordert, ein Lösegeld zu zahlen, um die Daten
freizugeben. Meist soll das Geld als Kryptowährung bezahlt werden.
Das Opfer hat im Falle eines Angriffs mittels Ransomware zu entscheiden, ob es
das geforderte Lösegeld oder für die Wiederherstellung des vorherigen
Zustandes zahlt.18 Ein Schaden wird in jedem Fall realisiert. Es wird geschätzt,
dass 2019 etwa 10,1 Mrd. Euro mittels Ransomware erpresst wurden.19
Sehr ähnlich wie Ransomware funktioniert die Scareware. Dabei versucht der
Angreifer nicht Lösegeld zu erpressen, sondern den Nutzer einzuschüchtern,
damit dieser an seinem Computer Handlungen ausführt, die er ohne Druck nicht
durchgeführt hätte.20
3. Spam- und Phishing-Mails
Unter Spam-Mails versteht man das, von Empfängern unerwünschte, Versenden
von E-Mails in großer Anzahl, meist zu Werbungszwecken. Spam-Mails können
aber auch versendet werden, um personenbezogene Informationen zu stehlen
oder Schadsoftware zu installieren, indem sie den Benutzer mit einer gefährdeten
Webseite verknüpfen. In diesen Fällen werden sie als
Cybersicherheitsbedrohung gesehen.21
17 Vgl. Keller/Braun/Roggenkamp in Cybercrime, 1. Aufl., Hilden/Rhld., Deutschland: Deutsche
Polizeiliteratur, 2020, S. 24-25.
18 Vgl. ,,ENISA Threat Landscape 2020 – Ransomware”. 20.Oktober, 2020. ENISA, S. 2.
19 Vgl. ,,ENISA Threat Landscape 2020 – Ransomware”. 20.Oktober, 2020. ENISA, S. 3.
20 Vgl. Keller/Braun/Roggenkamp in Cybercrime, 1. Aufl., Hilden/Rhld., Deutschland: Deutsche
Polizeiliteratur, 2020, S. 25.
21 Vgl. ,,ENISA Threat Landscape 2020 – Spam”. 20.Oktober, 2020. ENISA, S. 2.
11Spam-Mails werden oft mit Phishing verwechselt, sollten aber unterschieden
werden. Während Spam-Mails an eine große Anzahl von E-Mail-Adressen
verschickt werden, setzt Phishing Social Engineering ein.22
,,Phishing“ setzt sich zusammen aus den Wörtern ,,Password“ und ,,Fishing“,
was so viel heißt wie ,,nach Passwörtern fischen“.23
Phishing-Attacken sind Angriffe, bei denen Angreifer durch Versenden von
E-Mails, die einen echten E-Mail-Absender oder eine Organisation imitieren, dem
Empfänger persönliche Daten entlocken wollen.24 Diese Daten werden zur
Begehung weiterer Straftaten genutzt. Auf die Wichtigkeit der Schnelligkeit der
Übermittlung der Daten wird in den E-Mails zumeist deutlich hingewiesen, damit
die Empfänger nicht lange über die Richtigkeit der E-Mail nachdenken können.
Opfer sollen Kreditkartendaten oder Passwörter bekanntgeben.
Spear-Phishing-Attacken sind Angriffe, bei denen Angreifer gezielt die Rechner
von Mitarbeitern eines bestimmten Unternehmens oder bestimmte Personen
attackieren.25 Sie nützen dazu persönliche Daten wie den Namen des
Empfängers oder des Unternehmens, um den Empfänger vorzuspiegeln, dass er
den Absender kennt und ihm dadurch vertraut. Der Empfänger wird dann
aufgefordert, auf einen infizierten Link oder Anhang zu klicken.
Whaling-Attacken sind Angriffe, bei denen Angreifer gezielt die Rechner von
leitenden Angestellten bzw. Trägern von Führungspositionen eines bestimmten
Unternehmens attackieren, um Informationen zu stehlen, die in weiterer Folge für
einen Angriff auf das gesamte Unternehmen von Nutzen sein können.26
Die meisten Phishing-Attacken werden noch immer mittels E-Mails durchgeführt.
Die Einführung von Messaging-Diensten wie WhatsApp ließ jedoch die
Angriffszahlen mittels E-Mails sinken und verschoben sich auf diese Dienste.27
22 Vgl. ,,ENISA Threat Landscape 2020 – Spam”. 20.Oktober, 2020. ENISA, S. 2.
23 Vgl. Lamprecht, Cyber-Security: Das unterschätzte Risiko?, DJA 2018/9, S. 30.
24 Vgl. Huber in Malware; in: Cybercrime, 1. Aufl., Springer VS, Wiesbaden, 2019, S. 103.
25 Vgl. Keller/Braun/Roggenkamp in Cybercrime, 1. Aufl., Hilden/Rhld., Deutschland: Deutsche
Polizeiliteratur, 2020, S. 27.
26 Vgl. Keller/Braun/Roggenkamp in Cybercrime, 1. Aufl., Hilden/Rhld., Deutschland: Deutsche
Polizeiliteratur, 2020, S. 28.
27 Vgl. ,,ENISA Threat Landscape 2020 – Phishing”. 20.Oktober, 2020. ENISA, S. 2.
124. Botnetze
Botnetze bestehen aus mit Bot-Malware infizierten Geräten.28 Die Schadsoftware
(sog. Bots) wird ohne Wissen des Nutzers auf dessen Computer installiert. Ein
mit Bots infizierter Rechner kann sich selbst ohne Wissen des Users mit anderen
ebenfalls infizierten Systemen verbinden. Das Botnetz wird von Kriminellen aus
der Ferne von einem zentralen Server aus gesteuert, um sich deren
Rechenleistung und Bandbreite zu Nutze zu machen.29
Die Einsatzmöglichkeiten eines Botnetzes sind vielfältig. Angreifer nutzen sie bei
der Versendung von Spam- und Phishing-Mails, bei DoS/DDoS-Angriffen, bei der
Verschleierung des Standortes eines Servers und bei der Erzeugung von
Kryptowährungen.30
Bot-Programme werden meist mittels Trojaner, Drive-by-Downloads, APTs31
oder durch manuelle Installation auf dem Opferrechner installiert.
5. Denial-of-Service (DoS) und Distributed-Denial-of-Service (DDoS)
DoS- und DDoS-Angriffe sind Angriffsmethoden, bei denen die Erreichbarkeit
von Servern, Webseiten, Internet-Diensten, Netzen oder Routern blockiert
werden oder diese zusammenbrechen lassen.32
Der Unterschied zwischen DoS- und DDoS-Angriffen liegt in der Anzahl der
angreifenden Systemen. Erfolgt die Attacke von einem System, handelt es sich
um einen DoS-, bei mehreren angreifenden Systemen um einen DDoS-Angriff.33
28 Vgl. ,,ENISA Threat Landscape 2020 – Botnet”. 20.Oktober, 2020. ENISA, S.2.
29 Vgl. Keller/Braun/Roggenkamp in Cybercrime, 1. Aufl., Hilden/Rhld., Deutschland: Deutsche
Polizeiliteratur, 2020, S. 18.
30 Vgl. Keller/Braun/Roggenkamp in Cybercrime, 1. Aufl., Hilden/Rhld., Deutschland: Deutsche
Polizeiliteratur, 2020, S. 19.
31 Vgl. Keller/Braun/Roggenkamp in Cybercrime, 1. Aufl., Hilden/Rhld., Deutschland: Deutsche
Polizeiliteratur, 2020, S. 19.
32 Vgl. Keller/Braun/Roggenkamp in Cybercrime, 1. Aufl., Hilden/Rhld., Deutschland: Deutsche
Polizeiliteratur, 2020, S. 20.
33 Vgl. Keller/Braun/Roggenkamp in Cybercrime, 1. Aufl., Hilden/Rhld., Deutschland: Deutsche
Polizeiliteratur, 2020, S. 20.
13Diese Cyberangriffe erfolgen meist durch ein Botnetz, welches die Ziel-Systeme
blockiert. Dazu versendet das Botnetz riesige Mengen an Daten und Anfragen.34
Dies führt zu einer Überlastung und zur Unerreichbarkeit für andere Nutzer.
Der gängige Ansatzpunkt ist die Aufnahme der Kommunikation von Computern
in einem Netzwerk. Am Anfang jeder Kommunikation zwischen Netzwerken
werden Datenpakete ausgetauscht, aus denen sich die eigentliche
Kommunikation entwickelt. Der angreifende Computer startet immer wieder eine
Kommunikation mit dem Opfer-Rechner und bricht sie sofort wieder ab. Der
Computer wird lahm gelegt, indem die dem Rechner zur Verfügung stehende
Rechenzeit, auf den immer wieder stattfindenden Neuaufbau verwendet wird.
Häufig erfolgen DoS- bzw. DDoS-Angriffe als Angriffe gegen Server, die
Informationen enthalten, deren Verbreitung unterbunden werden sollen oder
gegen die kritische Infrastruktur, wie Elektrizitätswerke oder Krankenhäuser.
Um solche Attacken zu verhindern, setzen viele Unternehmen auf den Einsatz
von Firewalls, die den immer wieder neu beginnenden Kommunikationsversuch
erkennen und abbrechen, oder auf sog. Honeypots (engl. ,,Honigtopf“).
Honeypots sind Systeme, denen absichtlich Sicherheitslücken eingebaut
wurden, um Angreifer anzulocken und deren Verhalten bezüglich Angriffsmuster
und Motive zu erforschen.35
6. Schwachstellen in Soft- und Hardware (sog. Backdoor)
Als ,,Backdoor“ (engl. ,,Hintertür“) wird ein Zugang zu einem System bezeichnet,
der Sicherheitsmechanismen umgeht. Dieser Zugang kann von einem Hacker
mittels Schadsoftware oder von den Software-Herstellern absichtlich
programmiert worden sein,36 um beispielsweise Passwörter leichter
zurücksetzen zu können.
34 Vgl. Keller/Braun/Roggenkamp in Cybercrime, 1. Aufl., Hilden/Rhld., Deutschland: Deutsche
Polizeiliteratur, 2020, S. 20.
35 Vgl. Keller/Braun/Roggenkamp in Cybercrime, 1. Aufl., Hilden/Rhld., Deutschland: Deutsche
Polizeiliteratur, 2020, S. 20.
36 Vgl. Lenhard in Gefährliche Software; in: Datensicherheit, 2.Aufl., Springer Vieweg, Wiesbaden,
2020, S. 43.
147. Advanced Persistent Threats (APTs)
Advanced Persistent Threats (engl. ,,Fortgeschrittene, andauernde
Bedrohungen“) sind Cyberangriffe, die über einen längeren Zeitraum hinweg
durchgeführt werden. Zweck dieser Angriffe sind das Abgreifen, Ausspionieren
und Zerstören von Daten.37
Die größte Unterscheidung von APTs zu anderen Cyberangriffsarten ist die
Dauer des Angriffs. Hacker versuchen im System des Opfers möglichst lange
unentdeckt zu verharren, um dadurch die erbeutete Menge an Daten und
Informationen zu erhöhen.38
Angreifer nutzen APTs meist, um mithilfe dieser gestohlenen Daten Lösegeld zu
erpressen.
8. Social Engineering
Beim Social Engineering steht der Mensch und seine Schwächen im Fokus des
Angriffs. Angreifer nutzen Eigenschaften wie Neugier und Hilfsbereitschaft des
Opfers aus, um den Nutzer dazu zu bringen, Daten oder Informationen
preiszugeben, Schutzmaßnahmen zu umgehen oder freiwillig Malware zu
installieren.39 Sie spiegeln dem Opfer falsche Tatsachen vor, um vertrauliche
Informationen, wie Bankdaten, Login-Daten oder Passwörter, zu bekommen. Für
Angreifer ist es meist leichter einen Menschen als einen Computer zu
manipulieren.
Das bekannteste Beispiel für den Einsatz von Social Engineering ist Phishing.
37 Vgl. Analyse Nr. 02/2019: Herausforderungen für eine wirksame Cybersicherheitspolitik der EU
(Themenpapier); in: Europäischer Rechnungshof, 19.03.2019, S. 10, abgerufen am 03.11.2021.
38 Vgl. Pohlmann in Sichtweisen auf die Cyber-Sicherheit; in: Cyber-Sicherheit, 1.Aufl., Springer
Vieweg, Wiesbaden, 2019, S. 5.
39 Vgl. Keller/Braun/Roggenkamp in Cybercrime, 1. Aufl., Hilden/Rhld., Deutschland: Deutsche
Polizeiliteratur, 2020, S. 27.
159. Man-in-the-Middle
Eine Man-in-the-Middle-Attacke ist ein Angriff, bei der sich ein Dritter in die
Kommunikation anderer Benutzer hackt und sich ihnen gegenüber als der jeweils
andere ausgibt.40 Ziele dieses Angriffs sind das Abgreifen persönlicher Daten
oder Unternehmensdaten, das Stoppen einer Nachricht oder die Weiterleitung an
eine andere Person als der ursprüngliche Empfänger.
IV. Agentur der Europäischen Union für Cybersicherheit
Die Europäische Kommission wird von zahlreichen EU-Agenturen unterstützt.
Eine Agentur ist eine Verwaltungseinheit, die eigene Rechtspersönlichkeit
besitzt. Es gibt zwei Arten von Agenturen in der Europäischen Union, die
Exekutiv- und die dezentralen Agenturen.
Eine Exekutivagentur nimmt reine Verwaltungsaufgaben wahr und ist direkt der
Kommission unterstellt. Gegründet wird sie von der Kommission durch
Beschluss.41
Im Gegensatz dazu sind dezentrale Agenturen nicht direkt der Kommission
unterstellt, obwohl sie einen regen Austausch pflegen.42 Sie sind Körperschaften
des Öffentlichen Rechts und werden durch eine eigene Verordnung errichtet. 43
Sie übernehmen spezifische Aufgaben aus einem bestimmten Sektor.
Agenturen steht die Möglichkeit zur Verfügung, individuelle Entscheidungen zu
treffen, deren Rahmen im Vorhinein klar definiert ist. Allgemein gültige
Rechtsakte kann eine Agentur nicht erlassen, jedoch kann sie Empfehlungen
abgeben, denen im Regelfall bei der Erlassung von Rechtsakten nachgekommen
wird.44 Sie haben daher einen gewissen Einfluss auf die Gesetzgebung.
40 Vgl. Schwenk in Kryptographische Protokolle; in: Sicherheit und Kryptographie im Internet,
5.Aufl., Springer Vieweg, Wiesbaden, 2020, S. 68.
41 Vgl. Lorenzen in Kontrolle einer sich ausdifferenzierenden EU-Eigenverwaltung, 1.Aufl., Mohr
Siebeck, Tübingen, 2019, S. 112.
42 Vgl. Klika in Agenturen. In: Weidenfeld/Wessels/Tekin (Hrsg.), Europa von A bis Z –
Taschenbuch der europäischen Integration, 15.Aufl., Springer VS, Wiesbaden, 2020, S. 47.
43 Vgl. Lorenzen in Kontrolle einer sich ausdifferenzierenden EU-Eigenverwaltung, 1.Aufl., Mohr
Siebeck, Tübingen, 2019, S. 113-115.
44 Vgl. Klika in Agenturen. In: Weidenfeld/Wessels/Tekin (Hrsg.), Europa von A bis Z –
Taschenbuch der europäischen Integration, 15. Aufl., Springer VS, Wiesbaden, 2020, S.47.
16Besondere Bedeutung im Bereich der Cybersicherheit kommt der Agentur der
Europäischen Union für Cybersicherheit - auch Europäische Agentur für Netz-
und Informationssicherheit genannt (kurz: ENISA) – zu.45
Da diese Agentur der Europäischen Union eine dezentrale Agentur ist und durch
Sekundärrecht eingerichtet wird, wurde die Verordnung (EU) 2019/881
beschlossen. Diese Rechtsnorm wurde am 07. Juni 2019 im Amtsblatt der
Europäischen Union veröffentlicht und trat am zwanzigsten Tag nach der
Veröffentlichung in Kraft.46 Die 2019 errichtete ENISA wurde zur
Rechtsnachfolgerin der 2013 errichteten ENISA, die ihrerseits auf der 2004
errichteten Agentur für Cybersicherheit gründet. Sie hat ihren Hauptsitz in
Heraklion auf der Insel Kreta (Griechenland) und unterhält Büros in Athen.47
A. Mandat und Ziele
Die Verordnung (EU) 2019/881 richtet die ENISA mit einem neuen, ständigen
Mandat ein.
Das Mandat der ENISA besteht darin, dass sie unterstützend und beratend tätig
wird. Dabei handelt sie unabhängig und entwickelt eigene Ressourcen, um die
ihr zugewiesenen Aufgaben zu erfüllen.
Ziel der ENISA ist die Erreichung eines hohen Maßes an Cybersicherheit in der
gesamten EU. Gemäß Artikel 5 EUV kann die EU tätig werden, wenn Ziele wegen
ihres Ausmaßes oder länderübergreifenden Wesens von den einzelnen
Mitgliedstaaten nicht ausreichend ausgeführt werden können (sog.
Subsidiaritätsprinzip). Der ebenfalls in Artikel 5 EUV enthaltene
Verhältnismäßigkeitsgrundsatz begrenzt die Verordnung (EU) 2019/881 in dem
Ausmaß, dass ,,nicht über das für die Verwirklichung dieser Ziele erforderliche
Maß“48 hinausgegangen werden darf.
45 Vgl. Analyse Nr. 02/2019: Herausforderungen für eine wirksame Cybersicherheitspolitik der EU
(Themenpapier): in: Europäischer Rechnungshof, 19.03.2019, S. 11, abgerufen am 03.11.2021.
46 Vgl. ENISA-VO 2019/881/EU, ABl. 2019 L 151, S.67.
47 Vgl. Rehrl in Handbook on Cybersecurity: The Common Security and Defence Policy of the
European Union, 1.Aufl., Wien, Österreich: Federal Ministry of Defence of the Republic of Austria,
2018, S.125.
48 Vgl. ENISA-VO 2019/881/EU, ABl. 2019 L 151, S. 32.
17B. Aufgaben
Die Aufgaben49 der ENISA sind vielfältig.
Die Agentur nimmt beratende Tätigkeiten wahr. Die Beratungen erfolgen unter
anderem in Bezug auf die ,,Verhütung, Erkennung und Bewältigung von
Sicherheitsvorfällen“50 und bezüglich spezifischer Cyberbedrohungen und deren
Analyse.
Weiters stellt sie ihr Wissen und ihre Sachkenntnis zur Verfügung. Sie analysiert
ihr gesammeltes Wissen (z.B. neu entstandene Technik und bewährte Verfahren
bei der Bekämpfung von Cyberbedrohungen) in Bezug auf ihre Tauglichkeit und
ihre Auswirkungen.51 Um der Öffentlichkeit dieses Wissen bereitzustellen, wurde
ein eigenes Portal52 geschaffen.
Die EU und ihre Mitgliedstaaten reagieren bei grenzüberschreitenden
Cybersicherheitsvorfällen auf diese. Bei der Entwicklung dieser Maßnahmen
trägt die ENISA bei.53 Weiters unterstützt sie die EU und ihre Mitgliedstaaten bei
der Aufgabe, das Europarecht im Bereich der Cybersicherheit kohärent
umzusetzen und bei der Entwicklung von Strategien.54
Die Agentur arbeitet mit Organen der Europäischen Union, deren Behörden, und
Mitgliedstaaten, Drittländern und internationalen Organisationen zusammen.55
Im Bereich der Mitgliedstaaten unterstützt sie den Aufbau sog. Nationaler
Reaktionsteams für Computersicherheitsverletzungen (CSIRTs, ,,Computer
Security Incident Response Teams“) und berät diese.56 Weiters führt sie die
Geschäfte des Sekretariats des von den CSIRTs gebildeten CSIRTs-Netzes,
welches von den Mitgliedstaaten der Europäischen Union zusammengestellt
wird.57 Aufgabe des CSIRTs-Netzes ist die Förderung der CSIRTs in Bezug auf
Zusammenarbeit, Informationsaustausch, Vertrauensaufbau, die Behandlung
49 Vgl. ENISA-VO 2019/881/EU, ABl 2019 L 151, S. 35-40.
50 Vgl. ENISA-VO 2019/881/EU, ABl 2019 L 151, S. 20.
51 Vgl. Artikel 9 ENISA-VO.
52 https://www.enisa.europa.eu/.
53 Artikel 4 Abs. 5 ENISA-VO.
54 Artikel 5 ENISA-VO.
55 Artikel 12 ENISA-VO.
56 Artikel 6 ENISA-VO.
57 Artikel 7 Abs 3 ENISA-VO.
18von grenzüberschreitenden Vorfällen und Diskussionen über die Reaktion auf
bestimmte Vorfälle.58
Besondere Bedeutung kommt der Agentur bei der Cybersicherheitszertifizierung
zu, indem sie die Ausarbeitung eines Zertifizierungsrahmens von Netz- oder
Informationssystemen fördert.59
Um die genannten Aufgaben erfüllen zu können, steht ihr ein Budget, bestehend
aus Geldern der EU und Drittstaaten, zur Verfügung. Im Jahr 2019 belief sich ihr
Haushaltsbudget auf 17 Millionen Euro.60
C. Organisation und Arbeitsweise
Die Verwaltungs- und Leitungsstruktur der ENISA besteht gemäß Artikel 13
ENISA-VO aus einem Verwaltungsrat, einem Exekutivrat, einem
Exekutivdirektor, einer ENISA-Beratungsgruppe und einem Netz der nationalen
Verbindungsbeamten. Weiters können bei Bedarf sog. Ad-hoc-Arbeitsgruppen
gebildet werden.
Im Weiteren werden die einzelnen Organe kurz besprochen. Auf deren Aufgaben
im Zusammenhang mit der Programmplanung und dem Jahresbericht wird in
Punkt D. Bezug genommen.
1. Verwaltungsrat
Der Verwaltungsrat setzt sich gemäß Artikel 14 ENISA-VO aus je einem Mitglied
der Mitgliedstaaten und zwei von der Kommission ernannten Mitgliedern
zusammen, deren Amtszeit vier Jahre beträgt und verlängert werden kann.
Voraussetzung für die Ernennung sind Kenntnisse auf dem Gebiet der
Cybersicherheit. Der Verwaltungsrat wählt einen Vorsitzenden und seinen
58 Vgl. Rehrl in Handbook on Cybersecurity: The Common Security and Defence Policy of the
European Union, 1.Aufl., Wien, Österreich: Federal Ministry of Defence of the Republic of Austria,
2018, S.131.
59 Artikel 8 ENISA-VO.
60 Vgl. Accounting & Finance; in: ENISA, abgerufen am 03.11.2021.
19Stellvertreter, deren Amtszeit ebenfalls vier Jahre beträgt und tritt zumindest zwei
Mal im Jahr oder auf Antrag zusammen.61
Zur Beschlussfassung benötigt der Verwaltungsrat die Zustimmung von mehr als
der Hälfte der Mitglieder, wobei jedes Mitglied eine Stimme hat.62 Unter
bestimmten Umständen, wie der Wahl des Vorsitzenden und des
Stellvertreters,63 ist eine Zwei-Drittel-Mehrheit erforderlich.
Die Aufgaben des Verwaltungsrates sind weitreichend. Er legt die allgemeine
Ausrichtung und den Haushaltsplan der ENISA fest und sorgt für die Einhaltung
der Vorschriften.64 Er ernennt weiters den Exekutivdirektor und enthebt ihn
gegebenenfalls seines Amtes.65
2. Exekutivrat
Der Exekutivrat setzt sich gemäß Artikel 19 ENISA-VO aus fünf Mitgliedern
zusammen, die aus den Reihen des Verwaltungsrats für vier Jahre, diese
Amtszeit kann verlängert werden, ernannt werden. Er unterstützt den
Verwaltungsrat, der dessen Geschäftsordnung festlegt und tritt mindestens
einmal alle drei Monate zusammen.66 Die Aufgaben des Exekutivrates sind unter
anderem die Vorbereitung der Beschlussvorlagen für den Verwaltungsrat und die
Unterstützung des Exekutivdirektors bei seinen Aufgaben bezüglich der
Umsetzung von verwaltungs- und haushaltsbezogenen Beschlüssen des
Verwaltungsrats.67
61 Artikel 17 Abs. 2 ENISA-VO.
62 Artikel 18 ENISA-VO.
63 Artikel 16 ENISA-VO.
64 Artikel 15 ENISA-VO.
65 Artikel 15 Abs. 1 lit. n ENISA-VO.
66 Artikel 19 ENISA-VO.
67 Artikel 19 ENISA-VO.
203. Exekutivdirektor
Der Exekutivdirektor leitet die ENISA.68 Er ist unabhängig, dem Verwaltungsrat
rechenschaftspflichtig und erstattet dem Europäischen Parlament und dem Rat
Bericht.69
Er führt die laufenden Geschäfte der Agentur und setzt die vom Verwaltungsrat
gefassten Beschlüsse um.70
4. ENISA-Beratungsgruppe
Die ENISA-Beratungsgruppe besteht gemäß Artikel 21 ENISA-VO aus
anerkannten Sachverständigen, die vom Verwaltungsrat auf Vorschlag des
Exekutivdirektors für zweieinhalb Jahre ernannt werden. Sie berät die Agentur
bei ihren Aufgaben.71
5. Netz der nationalen Verbindungsbeamten
Das Netz der nationalen Verbindungsbeamten wird in Artikel 23 ENISA-VO
geregelt. Es besteht aus je einem Vertreter aus jedem Mitgliedstaat.72 Dieses
Netz hilft beim Austausch von Informationen zwischen den Mitgliedstaaten und
der ENISA und unterstützt die Agentur gemäß Abs. 2 bei der Bekanntmachung
ihrer Tätigkeiten, Erkenntnisse und Empfehlungen.
6. Ad-hoc-Arbeitsgruppen
Im Bedarfsfall können Ad-hoc-Arbeitsgruppen gebildet werden. Diese bestehen
aus Sachverständigen, deren Aufgabe die Behandlung von bestimmten
technischen oder wissenschaftlichen Themen sind. Die Bildung dieser
Arbeitsgruppen fällt in die Kompetenz des Exekutivdirektors.73
68 Artikel 20 Abs. 1 ENISA-VO.
69 Artikel 20 Abs. 1 und 2 ENISA-VO.
70 Artikel 20 Abs. 3 ENISA-VO.
71 Artikel 21 Abs. 5 ENISA-VO.
72 Artikel 23 Abs. 1 ENISA-VO.
73 Vgl. Über ENISA – die Agentur der Europäischen Union für Cybersicherheit; in: ENISA,
abgerufen am 03.11.2021.
217. Gruppe der Interessenträger für die Cybersicherheitszertifizierung
Die Gruppe der Interessenträger für die Cybersicherheitszertifizierung wird nicht
in Artikel 13 ENISA-VO genannt, sondern in Artikel 22 ENISA-VO behandelt.
Die Mitglieder sind Sachverständige, die von der Kommission auf Vorschlag der
Agentur für Cybersicherheit ausgewählt werden.74 Wichtigste Aufgabe der
Gruppe der Interessenträger für die Cybersicherheitszertifizierung ist die
Beratung im Bereich der Cybersicherheitszertifizierung.75 Weiters unterstützt die
Gruppe die Kommission bei der Ausarbeitung des Arbeitsprogramms der Union
und hat dabei ein Stellungnahmerecht.76
D. Arbeitsweise
Die Arbeitsweise der ENISA richtet sich nach dem Abschnitt 5 der VO über die
ENISA.
Der Exekutivdirektor entwirft jedes Jahr einen Vorschlag für ein einheitliches
Programmplanungsdokument, welches die jährliche und mehrjährige
Programmplanung und die Finanz- und Personalplanung enthält.77 Dabei wird er
von der ENISA-Beratungsgruppe unterstützt.78 Dieser Entwurf wird an den
Verwaltungsrat übermittelt, der diesen im Falle der Annahme der Kommission zur
Stellungnahme vorlegt.79 Nach dieser Stellungnahme nimmt er das
Programmplanungsdokument unter deren Berücksichtigung an,80 leitet es an das
Europäische Parlament, den Rat und die Kommission weiter81 und überwacht
dessen Umsetzung,82 die in den Aufgabenbereich des Exekutivdirektors fällt 83.
Die Arbeit der ENISA richtet sich nach dem Jahresarbeitsprogramm. Es besteht
74 Artikel 22 Abs. 2 ENISA-VO.
75 Artikel 22 ENISA-VO.
76 Artikel 22 ENISA-VO.
77 Artikel 24 Abs. 2 ENISA-VO.
78 Artikel 21 Abs. 5 ENISA-VO.
79 Artikel 15 Abs. 1 lit. b ENISA-VO.
80 Artikel 15 Abs. 1 lit. c ENISA-VO.
81 Artikel 24 Abs. 3 ENISA-VO.
82 Artikel 15 Abs. 1 lit. d ENISA-VO.
83 Artikel 20 Abs. 3 lit. d ENISA-VO.
22aus den Zielen, den zu erwartenden Ergebnissen und eine Beschreibung der
voraussichtlich benötigten finanziellen und personellen Mittel.84 In der
mehrjährigen Programmplanung werden die Ziele und Ressourcen auf mehrere
Jahre im Voraus geplant.85
Über die Tätigkeiten der Agentur für Cybersicherheit wird ein Jahresbericht
erstellt. Dieser wird vom Exekutivdirektor ausgearbeitet86 und vom
Verwaltungsrat genehmigt, bevor dieser den Jahresbericht der Kommission, dem
Rat, dem Europäischen Parlament, dem Rechnungshof und der Öffentlichkeit
zugänglich macht87.
Transparenz und der Zugang zu Informationen für alle Interessierten haben für
die Agentur einen hohen Stellenwert. Ausnahme besteht nur für Informationen,
die auf begründetes Ersuchen als vertraulich zu behandeln gilt.88
E. Projekte
Jedes Jahr führt die ENISA Projekte durch. Die meisten Projekte stammen aus
den Bereichen Cybersicherheit, Widerstandsfähigkeit und Risikomanagement.
1. Cyber Europe
Cyber Europe89 ist eine alle zwei Jahre stattfindende Großübung, bei der das
Szenario einer Cyberkrise simuliert wird. Geplant wird diese Übung von der
Agentur für Cybersicherheit für private und öffentliche Sektoren der EU und
Mitgliedstaaten der EFTA. Dieses Angebot wird von über 600 Organisationen in
Anspruch genommen. Der Nutzen dieser Übungen ist groß, da potentielle
84 Artikel 24 Abs. 5 ENISA-VO.
85 Artikel 24 Abs. 7 ENISA-VO.
86 Artikel 20 Abs. 3 lit. e ENISA-VO.
87 Artikel 15 Abs. 1 lit. f ENISA-VO.
88 Artikel 27 Abs. 2 ENISA-VO.
89 Vgl. Rehrl in Handbook on Cybersecurity: The Common Security and Defence Policy of the
European Union, 1.Aufl., Wien, Österreich: Federal Ministry of Defence of the Republic of Austria,
2018, S.131.
23Cyberattacken analysiert, Schlussfolgerungen bezüglich Cybersicherheit
gezogen und im Weiteren daraus gelernt werden kann.
2. European Cybersecurity Month (ECSM)
Jedes Jahr im Oktober findet der Europäische Cybersicherheitsmonat statt.90 Ziel
dieses Projekts ist auf Cybersicherheitsgefahren aufmerksam zu machen. Dazu
werden Informationen aus dem Bereich der Cybersicherheit an Interessierte
verteilt. Unterstützt werden die planenden Organe, ENISA und die Europäische
Kommission, von den Mitgliedstaaten der EU, Regierungen, Universitäten, NGOs
und vielen mehr.91
3. European Cybersecurity Challenge (ECSC)
Die ECSC ist Teil des Europäischen Cybersicherheitsmonats.92 Bei dieser
Challenge vernetzen sich Interessierte und treten im Rahmen eines Wettbewerbs
in unterschiedlichen Disziplinen gegeneinander an. Die Person, die im nationalen
Wettbewerb die meisten Punkte geholt hat, darf ihr Land bei der ECSC vertreten.
Neben dem Wettbewerb stehen der Austausch, Expertengespräche und die
Suche von ,,Cybertalenten” und deren Vernetzung mit Unternehmen im Fokus
der Veranstalter.93
90 Vgl. Rehrl in Handbook on Cybersecurity: The Common Security and Defence Policy of the
European Union, 1.Aufl., Wien, Österreich: Federal Ministry of Defence of the Republic of Austria,
2018, S.133.
91 Vgl. ,,What is ECSM?”; in: ECSM, abgerufen am 03.11.2021.
92 Vgl. European Cyber Security Challenge; in: ECSC, abgerufen am 03.11.2021.
93 Vgl. Rehrl in Handbook on Cybersecurity: The Common Security and Defence Policy of the
European Union, 1.Aufl., Wien, Österreich: Federal Ministry of Defence of the Republic of Austria,
2018, S. 133.
24V. Restriktive Maßnahmen
A. Allgemein
1. Begriffserklärung und Arten
Um ein sicheres Leben und ein gefahrloses Verwenden von mit dem Internet
verbundenen Geräten in der EU zu gewährleisten, ist es unter Umständen
notwendig Druck aufzubauen und Maßnahmen durchzusetzen. Als friedliches
Mittel stehen der Europäischen Union im Rahmen der Gemeinsamen Außen- und
Sicherheitspolitik94 (GASP) gemäß Artikel 215 AEUV95 präventive Maßnahmen
zur Verfügung.96 Diese Kompetenz kann ausschließlich von der Europäischen
Union ausgeführt werden.
Diese als restriktiven Maßnahmen bezeichneten Maßnahmen können unterteilt
werden in Sanktionen im weiteren Sinn und Sanktionen im engeren Sinn. 97
Sanktionen im weiteren Sinn werden auch diplomatische Sanktionen genannt, da
ihr Druckmittel der Abbruch diplomatischer Beziehungen ist.98 Unter Sanktionen
im engeren Sinn versteht man unter anderem Waffenembargos,
Einreisebeschränkungen (wie Visumsperren oder Reiseverbote99), das Einfrieren
von Vermögenswerten100 oder andere Wirtschaftssanktionen wie Ein- oder
Ausfuhrverbote.
Waffenembargos sind Maßnahmen, die Verkauf, Lieferung, Weitergabe und
Beförderung von in der Gemeinsamen EU-Militärgüterliste101 aufgeführten
Gütern verbietet.102 Weiters kann die Ausfuhr von Gütern mit sog. ,,doppeltem
Verwendungszweck“ verboten werden. Darunter ist zu verstehen, dass die
94 Vgl. Sanktionen: Wann und wie die EU restriktive Maßnahmen verhängt: in: European Council,
20.10.2020, abgerufen am 30.11.2021.
95 Vgl. Haratsch / Koenig / Pechstein in Europarecht, 12.Aufl., Mohr Siebeck, Tübingen, 2020, S.
796-798.
96 Vgl. Verschiedene Arten von Sanktionen: in: European Council, 06.06.2019, abgerufen am
30.11.2021.
97 Vgl. Verschiedene Arten von Sanktionen: in: European Council, 06.06.2019, abgerufen am
30.11.2021.
98 Vgl. Verschiedene Arten von Sanktionen: in: European Council, 06.06.2019, abgerufen am
30.11.2021.
99 Vgl. Leitlinien zur Umsetzung und Evaluierung restriktiver Maßnahmen (Sanktionen) im
Rahmen der Gemeinsamen Außen- und Sicherheitspolitik der EU (Dok. 15598/17), S.34.
100 Vgl. Verschiedene Arten von Sanktionen: in: European Council, 06.06.2019, abgerufen am
30.11.2021.
101 Anhang zur Richtlinie 2021/1047.
102 Vgl. Waffenembargos: in: WKO.at, abgerufen am 08.12.2021.
25betroffenen Güter für zivile und militärische Zwecke eingesetzt werden
können.103
Einreisebeschränkungen verbieten den betroffenen Personen in das Gebiet der
Europäischen Union einzureisen bzw. den Staatsangehörigen eines
Mitgliedstaates das Staatsgebiet zu verlassen.
Einfrieren von Vermögenswerten bedeutet, dass alle Geldmittel der gelisteten
Personen und Einrichtungen eingefroren werden und für die Betroffenen nicht
nutzbar sind. Weiters dürfen ihnen von anderen Personen oder Einrichtungen
keine Vermögenswerte bereit gestellt werden (sog. Verfügungs- und
Bereitstellungsverbot104).
Der Begriff der Vermögenswerte umfasst alle wirtschaftlichen Ressourcen und
Gelder.105 Wirtschaftliche Ressourcen sind von Geldern verschieden und werden
,,negativ“ umschrieben. Jeder Vermögenswert, der kein Geld ist, ist eine
wirtschaftliche Ressource.
Weiters gibt es noch Sanktionen im Rahmen der Vereinten Nationen oder auf
eigene Initiative der EU.106
Die Betroffenen dieser Maßnahmen können Regierungen, Organisationen,
Gruppen oder Einzelpersonen sein.107
2. Ziele
In Artikel 21 des Vertrages über die Europäische Union (EUV) werden die Ziele
der Gemeinsamen Außen- und Sicherheitspolitik genannt. Da es sich bei
restriktiven Maßnahmen um eine Aufgabe aus dem Bereich der GASP handelt,
müssen diese verfolgt werden.108 Weiters dürfen sie nicht den Verpflichtungen
der EU, die ihr aus dem Völkerrecht entstehen, widersprechen.109
103 Vgl. Leitlinien zur Umsetzung und Evaluierung restriktiver Maßnahmen (Sanktionen) im
Rahmen der Gemeinsamen Außen- und Sicherheitspolitik der EU (Dok. 15598/17), S. 28.
104 Vgl. Lippert, CB 2020, S.231.
105 Vgl. Lippert, CB 2020, S.233.
106 Vgl. Verschiedene Arten von Sanktionen: in: European Council, 06.06.2019, abgerufen am
30.11.2021.
107 Vgl. Algieri in Die Gemeinsame Außen- und Sicherheitspolitik als Spiegelbild eines
Integrationsprozesses im Wandel. In: Becker/Lippert (Hrsg.), Handbuch Europäische Union.
1.Aufl., Springer VS, Wiesbaden, 2020, S. 967.
108 Vgl. Leitlinien zur Umsetzung und Evaluierung restriktiver Maßnahmen (Sanktionen) im
Rahmen der Gemeinsamen Außen- und Sicherheitspolitik der EU (Dok. 15598/17), S.6.
109 Vgl. Sanktionen: Wann und wie die EU restriktive Maßnahmen verhängt: in: European Council,
20.10.2020, abgerufen am 30.11.2021.
26Artikel 21 EUV ist weitreichend. Auf die restriktiven Maßnahmen umgelegt, sind
ihre Ziele die Wahrung der Werte der Europäischen Union (wie Frieden,
Demokratie, Rechtsstaatlichkeit, die Wahrung der Menschenrechte), ihrer
Interessen und die nationale und internationale Sicherheit.110
Bei restriktiven Maßnahmen handelt es sich um friedliche Maßnahmen, die die
Betroffenen zu einer Änderung in ihrem Verhalten drängen111 und potenzielle
Täter abhalten sollen112.
3. Annahmen und Rechtsgrundlagen
Gemäß Artikel 28 und 29 EUV erlässt der Rat GASP-Beschlüsse, wenn dies die
Situation erfordert.113 Restriktive Maßnahmen werden, als Aufgabenbereich der
GASP, in solchen Beschlüssen geregelt.114
Die Erlassung der Beschlüsse teilen sich der Hohe Vertreter für Außen- und
Sicherheitspolitik, der Rat und dessen Vorbereitungsgremien.115 Der Vorschlag
für einen solchen Rechtsakt wird vom Hohen Vertreter eingebracht und in den
Vorbereitungsgremien begutachtet. Anschließend wird der Beschluss vom Rat
beschlossen.116 Gemäß Artikel 31 EUV benötigt dies das Erfordernis der
Einstimmigkeit.
Einige restriktive Maßnahmen, wie Waffenembargos oder
(Ein-)Reisebeschränkungen, benötigen zum Wirksamwerden nur den Beschluss
des Rates und werden unmittelbar von den Mitgliedstaaten der Europäischen
110 Vgl. Sanktionen: Wann und wie die EU restriktive Maßnahmen verhängt: in: European Council,
20.10.2020, abgerufen am 30.11.2021.
111 Vgl. Leitlinien zur Umsetzung und Evaluierung restriktiver Maßnahmen (Sanktionen) im
Rahmen der Gemeinsamen Außen- und Sicherheitspolitik der EU (Dok. 15598/17), S.6.
112 Vgl. Beschluss (GASP) 2019/797 des Rates vom 17. Mai 2019 über restriktive Maßnahmen
gegen Cyberangriffe, die die Union oder ihre Mitgliedstaaten bedrohen, S. 13.
113 Vgl. Verfahren für die Annahme und Überprüfung von EU-Sanktionen: in: European Council,
14.02.2019, abgerufen am 01.12.2021.
114 Vgl. Verfahren für die Annahme und Überprüfung von EU-Sanktionen: in: European Council,
14.02.2019, abgerufen am 01.12.2021.
115 Vgl. Verfahren für die Annahme und Überprüfung von EU-Sanktionen: in: European Council,
14.02.2019, abgerufen am 01.12.2021.
116 Vgl. Verfahren für die Annahme und Überprüfung von EU-Sanktionen: in: European Council,
14.02.2019, abgerufen am 01.12.2021.
27Sie können auch lesen
